Google Chrome bis 45.0.2454 Blink TransformationMatrix.cpp decompose erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als problematisch klassifizierte Schwachstelle in Google Chrome bis 45.0.2454 entdeckt. Betroffen ist die Funktion decompose der Datei platform/transforms/TransformationMatrix.cpp der Komponente Blink. Durch das Beeinflussen mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden.
Diese Schwachstelle trägt die Bezeichnung CVE-2015-6582. Es gibt keinen verfügbaren Exploit.
Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Es wurde eine problematische Schwachstelle in Google Chrome bis 45.0.2454 (Web Browser) ausgemacht. Dabei betrifft es die Funktion decompose der Datei platform/transforms/TransformationMatrix.cpp der Komponente Blink. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-254 vorgenommen. Das hat Auswirkungen auf die Verfügbarkeit. CVE fasst zusammen:
The decompose function in platform/transforms/TransformationMatrix.cpp in Blink, as used in Google Chrome before 45.0.2454.85, does not verify that a matrix inversion succeeded, which allows remote attackers to cause a denial of service (uninitialized memory access and application crash) or possibly have unspecified other impact via a crafted web site.Die Schwachstelle wurde am 03.09.2015 (Website) publik gemacht. Das Advisory kann von googlechromereleases.blogspot.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 21.08.2015 unter CVE-2015-6582 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 14.06.2022). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1211.
Ein Upgrade auf die Version 45.0.2454.85 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Vulnerability Center (SBV-52441†) dokumentiert. Die Schwachstellen VDB-77523, VDB-77524, VDB-77525 und VDB-77526 sind ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
- 0.2.149
- 0.3.154
- 0.4.154
- 1.0.154
- 2.0.172
- 3.0.195
- 4.0.249
- 4.1.249
- 5.0.375
- 6.0.472
- 7.0.517
- 8.0.552
- 9.0.597
- 10.0.648
- 11.0.696
- 12.0.742
- 13.0.782
- 14.0.835
- 15.0.874
- 16.0.912
- 17.0.963
- 18.0.1025
- 19.0.1084
- 20.0.1132
- 21.0.1180
- 22.0.1229
- 23.0.1271
- 24.0.1312
- 25.0.1364
- 26.0.1410
- 27.0.1453
- 28.0.1500
- 29.0.1547
- 30.0.1568.2
- 30.0.1599
- 31.0.1650
- 32.0.1700
- 33.0.1750
- 34.0.1847
- 35.0.1916
- 36.0.1985
- 37.0.2062
- 38.0.2125
- 39.0.2171
- 40.0.2214
- 41.0.2272
- 42.0.2311
- 43.0.2357
- 44.0.2403
- 45.0.2454
Lizenz
Webseite
- Hersteller: https://www.google.com/
- Produkt: https://www.google.com/chrome/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-254
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 802470
OpenVAS Name: Google Chrome Multiple Vulnerabilities-01 September15 (Windows)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Chrome 45.0.2454.85
Timeline
21.08.2015 🔍03.09.2015 🔍
03.09.2015 🔍
03.09.2015 🔍
04.09.2015 🔍
06.09.2015 🔍
14.06.2022 🔍
Quellen
Hersteller: google.comProdukt: google.com
Advisory: googlechromereleases.blogspot.com
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2015-6582 (🔍)
GCVE (CVE): GCVE-0-2015-6582
GCVE (VulDB): GCVE-100-77568
SecurityTracker: 1033472
Vulnerability Center: 52441 - Google before 45.0.2454.85 Remote DoS due to Improper Verification of a Matrix Inversion, Medium
Siehe auch: 🔍
Eintrag
Erstellt: 04.09.2015 10:22Aktualisierung: 14.06.2022 09:46
Anpassungen: 04.09.2015 10:22 (53), 29.11.2017 07:50 (12), 14.06.2022 09:46 (3)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.